Soulever VPN + facturation UTM5 sur Win2003



  • 1. Installation et configuration de routage et accès distant
  • 2. Installation de l'UTM
  • 3. Réglage de l'UTM
  • 4. fichiers


  • Alors, où commencer la mise en œuvre VPN + UTM5 ligament sur Windows Server 2003. Avant de commencer la mise en RASS devez vérifier si le service est installé IAS (Internet Authentication Service). Pour vérifier cela, vous devez aller à Ajout / Suppression de programmes du Panneau de configuration, voir Installation KOMONENTOV WINDOWS et voir une partie de composants des services de mise en réseau. Si ce service est installé, retirez-le avec une coche (désinstaller). Ce service est autre chose qu'un Windows RADIUS. Il est entendu que deux RADIUS-serveur (UTM-RADIUS, et Windows-RADIUS) sur le même ordinateur ne peut pas travailler parce que Ils sont utilisés pour les mêmes ports. En conséquence, dans le service de l'IAS UTM-RADIUS installé simplement ne démarre pas.

    Un autre service qui empêche le bon fonctionnement de l'UTM, ou plutôt Apache, cela - Large Service mondial Web, qui est inclus dans le composant Windows - Application Server avec le groupe de services IIS (Internet Information Services). Il est également nécessaire de désinstaller, sinon Apache ne démarre pas parce que Ce service utilise le port 80. Si le serveur doit WEB-serveur, il peut être remplacé avec succès par le même Apache, en utilisant le port 80. UTM fournit l'accès des utilisateurs aux statistiques sur le protocole HTTPS, et il se connecte sur le port 443 avec le chiffrement basé sur le certificat. Vous pouvez certainement installer Apache sur le port 8080, mais pourquoi deux WEB-serveur sur le même ordinateur?

    Le serveur ne doit pas être réglé sur SQL Server et MySQL.
    Après la désinstallation de ces services, vous pouvez installer et configurer le RASS.

    1. Installation et configuration de routage et accès distant


    1.1. Exécutez l'assistant d'installation RASS.

    1.2. Nous déclinons tous les schémas standard et sélectionner le mode de réglage manuel. Je pense qu'il est le dernier dans la liste des options offertes par l'assistant.
    1.3. Après le démarrage du RASS commencer le personnalisant.

    1.4. Accédez au RASS (bouton droit de la souris nous appuyer sur l'icône du serveur avec une flèche verte et sélectionnez Propriétés) les propriétés du serveur.

    1.5. Dans l'onglet GÉNÉRAL, sélectionnez le mode de routeur LAN et le logiciel Byzova et les exigences de serveur pour l'accès à distance, nous pressons OK et redémarrez le RASS.

    1.6. Encore une fois, allez dans les propriétés du serveur RASS l'onglet Sécurité.

    1.7. Ici, dans le service de la section VERIFICATION
    AUTHENTICITÉ spécifier l'authentification RADIUS et cliquez sur le bouton Configurer et dans la fenêtre qui apparaît, cliquez sur le bouton Ajouter.

    1.8. Si l'UTM-RADIUS est installé sur le même ordinateur, le champ NOM SERVEUR écriture - 127.0.0.1. Si l'UTM-RADIUS est sur un autre ordinateur, vous devez spécifier son adresse IP.

    1.9. Dans le SECRET nous appuyer sur le bouton Modifier et écriture - secrète et confirmons à nouveau.

    1.10. Timeout, l'évaluation initiale et le port ne sont pas touchés. Le port doit être - 1812. Assurez-vous de mettre une coche toujours utiliser les rapports de témoins et cliquez sur OK.
    1.11. Maintenant COMPTE DE SERVICE choisir RSDIUS Comptabilité et a frappé le bouton SET.

    1.12. Dans la fenêtre qui apparaît, nous appuyer sur le bouton Ajouter.

    1.13. NOM SERVEUR comme 127.0.0.1, secret - un secret, le port - 1813, un délai d'attente et une évaluation initiale, laissez la valeur par défaut RADIUS COMMUNICATIONS tick on / off COMPTABILITÉ pas fixé. Nous pressons OK.
    1,14. Nous allons utiliser le protocole PPTP pour connexions VPN, alors cocher PERMETTRE CUSTOM IPSEC-POLITIQUE POUR L2TP-CONNECTION ne nous intéresse pas, et nous ne définissez pas.

    1,15. Allez à l'onglet IP. Il existe généralement une vesch très intéressante.

    1,16. Tout d'abord, nous avons mis toutes les cases qui se trouvent sur cet onglet (il y a trois).
    1,17. Comme un adaptateur pour obtenir DHCP adresse, DNS et WINS-serveur pour les clients VPN, sélectionnez l'adaptateur d'interface, la recherche sur Internet. Avec lui, sera diffusé toutes les requêtes pour les utilisateurs VPN.

    1.18. Maintenant, la partie amusante. Pour l'interface interne de RASS reçu IP, qui sera utilisé comme un IP-serveur pour se connecter VPN-client PPTP-tunnel PPP devrait être sous NOMINATION adresse IP pour sélectionner un pool d'adresses statique et entrez l'adresse IP ici. Mais vaillant Microsoft a pour une raison quelconque a décidé que le RASS fonctionne uniquement avec Windows RADIUS, et plus. Par conséquent, lorsque vous spécifiez un pool statique d'adresses Microsoft a écrit un contrôle sur le nombre d'adresses dans la piscine et a estimé qu'il devrait y avoir au moins deux. Ce n'est vrai que lorsque l'on travaille avec Windows-RADIUS, où l'adresse IP pour le client et le serveur sont prises à partir de ce pool. Dans notre cas, cette piscine est prise seule adresse pour le serveur et les adresses des clients sont affectés UTM. À première vue - il n'y a pas de problèmes. Si nick est pas vile. Comme le montre, si un utilisateur donné à un autre login et mot de passe sur le VPN et ils sont connectés en même temps, le premier, à éclater hors d'eux reçoit une adresse IP de l'UTM, et le second - à partir de ce pool. Le problème est que le trafic ne sera considérée que sur la propriété intellectuelle, qui est enregistré en UTM, et le second utilisateur sera libre de vous asseoir. Mais il est pas si mal. Quittez les propriétés du serveur RASS (Appuyez sur le bouton OK en bas). Nous attendons le bouton Démarrer, puis sur Exécuter et commande écrire

    netsh ras ip ajouter gamme 192.168.2.254 192.168.2.254

    Encore une fois, allez dans les propriétés du serveur RASS dans l'onglet IP, et y voir un pool statique d'adresses 192.168.2.254. Problème résolu. Par le réseau de chemin, que nous allons utiliser pour le VPN, serait - 192.168.2.0/255.255.255.0.

    1.19. Nous allons dans l'onglet PPP et supprimer la coche des articles là-bas Multilink et les logiciels de données compressées. Mettez une tique sur le point du protocole étendu Communication Management (LCP).

    1,20. Allez à l'enregistrement de l'onglet. Sélectionnez le point de tenir un journal des erreurs et des avertissements. Ce besoin à des fins d'information, de savoir qui et quand se connecte au RASS VPN. Magazine inclure des informations supplémentaires est inutile.

    1,21. Maintenant fastidieux à configurer des ports virtuels pour connexions VPN.

    1,22. Accédez aux propriétés du port (clic droit sur le port et sélectionnez Propriétés).

    1.23. Toujours configurer chaque type de port dans la liste .. Sélectionnez L2TP et percez dans le SET. Retirez toutes les cases et définir le nombre maximal de ports - 0. Sélectionnez PPPoE et cliquez sur Configurer. Retirez toutes les cases. Choisissez PPTP, nous appuyer sur SET. Définir une coche SEULEMENT INCLUS, retirez la coche entrant et sortant. Le nombre maximal de ports Asking - 128. (Ceci est combien de personnes peuvent se connecter au VPN si elle est nécessaire non pas tant dans le même temps, vous pouvez mettre moins sur le temps, elle ne touche pas ...) Sélectionner Direct Parallel et supprimer toutes les tiques. Cet article ne peut pas être, si le serveur est pas de port parallèle pour l'imprimante, ou il est désactivé dans le BIOS.
    En fin de compte, il devrait y avoir une telle image.

    1,24. Accédez au routage IP.

    1,25. Ici, il est nécessaire de déterminer immédiatement le pare-feu. Si votre serveur est pas un pare-feu tiers, alors il devrait être traité séparément. S'il y a ISA, qu'il devrait être démoli. Il est de travailler sans VPN est nécessaire. Le problème avec le pare-feu est très grave - la décision finale comment utiliser un pare-feu - vous. Je peux seulement dire que, dans le cas de base, vous pouvez configurer le haut-RASS pare-feu, mais il est très rare, mais le problème avec la répartition du trafic effectue presque complètement.

    1.26. Poke une souris en général dans la fenêtre de gauche et vérifier quelles interfaces sont présentes dans la fenêtre de droite. Il doit y avoir deux interfaces réseau (qui ressemble à l'Internet et qui regarde dans le réseau local), l'interface interne et Bouclage, à savoir dans votre interface cas 4. Si elles ne sont pas, ou certains sont absents, alors ils doivent être ajoutés en cliquant sur la souris sur un espace vide dans le volet droit et sélectionnez Nouvelle interface.

    1.27. Dans notre cas, routage IP doit contenir 3 points GÉNÉRAUX, itinéraires statiques, et NAT / pare-feu de base. S'il n'y a pas quelque chose ou il y a autre chose, puis l'excès doit être retiré, et vous avez besoin d'ajouter en cliquant sur GENERAL, puis en sélectionnant un nouveau routage de protocole.

    1,28. Paragraphe route statique est pas nécessaire. Il devrait être vide. Retirez-le, nous ne pouvons pas - il est une partie intégrante de la RASS. Aller directement à la NAT.

    1.29. NAT est nécessaire pour convertir l'adresse globale versa locale et vice. Poke une souris dans le NAT. Dans la fenêtre de droite, ajouter une interface qui ressemble à l'Internet et accédez à ses propriétés (cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés)


    1.30. Nous déclarons une interface commune pour la connexion Internet et mis une tique permettent NAT sur cette interface. Second tick COMPREND Basic Firewall pour cette interface est pas nécessaire de mettre, si vous avez un pare-feu est. Si le pare-feu ne sont pas présents, pour le mettre un must, sinon votre serveur sera visible sur Internet. Nous pressons OK. Plus dans NAT n'a pas à configurer quoi que ce soit.

    1.31. Maintenant, si vous avez un pare-feu est, le réglage de RASS est maintenant terminée. Si vous ne l'avez pas, alors vous devez configurer des filtres de paquets pour bloquer le réseau de distribution d'Internet pour Localement et le mettre en VPN.

    1.32. Pour cette piquez dans le général et aller aux propriétés de l'interface, en regardant dans le réseau local. bouton Poke dans la sortie du filtre. Dans la nouvelle fenêtre, nous appuyer sur le bouton Créer. Nous mettons un réseau Source checkmark et prescrivons où son réseau local. Dans votre cas 192.168.1.0/255.255.255.0. Nous disons OK. Nous pressons une seconde fois pour créer. Nous mettons un réseau de source de tiques et prescrivons où le VPN-serveur IP-address. Dans notre cas 192.168.2.254/255.255.255.255. Nous disons OK. Sélectionnez l'action dans le haut du filtre - Rejeter tous les paquets sauf ceux qui répondent KRETERIYAM ci-dessous et cliquez sur OK.

    1,33. TOUT !!! Maintenant Rass fixé !!!


    2. Installation de l'UTM.


    2.1. Exécutez UTM5Setup. Sélection de la langue russe, respectivement.

    2.2. Mettez d'abord la machine JAVA.

    2.3. Rediffusion UTM5Setup. Maintenant, mettez tout le reste, en supprimant la coche de JAVA. Lorsque aucune autre installation est sans subtilités. Une fois l'installation terminée, vous devez aller dans les services et de regarder vers MySQL-NT et UTM5_CORE ont été lancés. Si cela fonctionne, tant mieux.

    2.4. Ensuite, mettre RADIUS. Avec lui, il n'y a pas de problèmes jamais.

    2.5. Maintenant NDSAD. Ici, il y a beaucoup de problèmes. Pour NDSAD collecter le trafic sur le VPN que vous devez pilote WinPCAP est la version 3.1 ou supérieure.

    2.6. Après avoir redémarré le service ndsad devrait commencer. S'il svё ne démarre toujours pas, alors le serveur est port occupé 9996, qui ndsad utilise pour communiquer avec l'UTM.

    2.7. Pour installer le maintenant (si pas apparu dans les services, le service) utm5_rfw. Pour ce faire, exécutez la commande:

    utm5_rfw.exe --install.

    Après cela, le service doit utm5_rfw apparaître.

    2.8. Maintenant, nous avons besoin d'un programme plus qui ne sont pas inclus dans l'UTM, sans laquelle il est impossible de gérer les pannes des connexions VPN par l'utilisateur, dont le solde est passé par un 0. Ce utm5_kill_vpn.exe programm. Quand j'ai commencé l'UTM, il a constaté que lorsque l'on travaille avec les développeurs de Windows RASS ne prévoit pas un mécanisme désactivant connexions VPN. Par ailleurs, sur l'Internet - la question la plus sensible dans la plupart des systèmes de facturation. Il est bon qu'ils utm5_rfw écrit même, ce qui vous permet de transférer la gestion d'autres programmes, et tout aurait été un tuyau. Ce programme d'exemple à copier à la racine du lecteur c: circuit d'arrêt fonctionne ainsi. UTM détecte que le solde de l'utilisateur est devenu négatif. Il donne la utm5_rfw d'équipe, à propos de l'utilisateur est déconnecté. Utm5_rfw provoque utm5_kill_vpn et elle donne l'ordre de rompre le VPN-connexion RASS Windows pour un utilisateur particulier.

    (Pour la machine il y a une rupture =) en UTM aller REGLES FIREWALL, nous appuyer sur le bouton Actualiser. Nous supprimons tous, mais le premier. Le premier appel pour l'édition. Mettez une coche - tous les utilisateurs. ID d'utilisateur - 0, ID Group - 0, ID tarifaire - 0 Vkyuchenie - ne pas écrire quoi que ce soit (doit être vide), l'arrêt - c: /utm5_kill_vpn.exe ULOGIN, pare-feu ID - 1. Variable ULOGIN contient le nom des connexions VPN et transférés programme utm5_kill_vpn.exe pour désactiver le VPN correspondant.)


    2.9. Comme tous établie. Maintenant, nous allons dans les paramètres.




    3. Réglage de l'UTM


    3.1. Les fichiers de configuration.

    3.1.1. UTM5.CFG

    type_base_de_données = mysql - type de base de données
    base de données = utm5 - le nom de la base de données
    database_host = 127.0.0.1 - base de données informatique IP
    database_login = root - se connecter à la base de données
    database_password = - le mot de passe pour la base de données (sans mot de passe)

    urfa_bind_host = 0.0.0.0 - IP qui se connecte à une base de données (any)

    urfa_lib_file = liburfa \ librpc.dll
    urfa_lib_file = liburfa \ liburfa_utils.dll
    urfa_lib_file = liburfa \ liburfa_card.dll
    urfa_lib_file = liburfa \ liburfa_hotspot.dll - bibliothèques pour les modules externes
    urfa_lib_file = liburfa \ liburfa_graph.dll
    urfa_lib_file = liburfa \ liburfa_radius.dll

    nfbuffer_port = 9996 - port de connexion NDSAD


    3.1.2. RADIUS5.CFG

    core_host = 127.0.0.1 - IP, sur lequel l'UTM
    core_port = 11758 - connexion au port UTM

    radius_login = rayon - l'utilisateur du système de connexion
    radius_password = rayon - le mot de passe de l'utilisateur du système

    radius_auth_mppe = permettent - autorisation de VPN

    radius_auth_vap = 1 - pas authentifier avec un solde négatif

    radius_ssl_type = none - type de cryptage (désactivé)

    radius_ippool_timeout = 0 - ré-autorisation retardée (à droite)
    radius_ippool_acct_timeout = 0 - libère le VPN IP immédiatement après la pause


    3.1.3. RFW5.CFG

    rfw_name = 127.0.0.1 - le nom du pare-feu (en utilisant IP)

    firewall_type = local - type de pare-feu (local)

    core_host = 127.0.0.1 - Adresse IP de l'UTM
    core_port = 11758 - le port pour la communication avec UTM

    rfw_login = web - système de connexion de l'utilisateur
    rfw_password = web - mot de passe utilisateur sistemngo

    3.1.4. NDSAD.CFG

    dummy tous - les statistiques de désactiver la collecte de tout appareil autre que celles spécifiées dans la force de commande, à savoir, La circulation sera collectée uniquement sur le VPN

    vigueur \ Device \ NPF_GenericDialupAdapter - Mode sur la collecte de statistiques VPN

    nf_lifetime 1 - déconnecte immédiatement la session lorsque l'utilisateur navigue à travers le solde de 0


    3.1.5. WEB5.CFG

    core_host = 127.0.0.1 - Adresse IP de l'UTM

    web_login = web - l'utilisateur du système de connexion

    web_password = web - le mot de passe de l'utilisateur du système


    3.1.6. Après la configuration des fichiers correctifs doivent redémarrer votre ordinateur pour que les modifications prennent effet.

    4 fichiers:


    Titre: NDSAD_setup_1_33.exe
    Cliquez ici pour le fichier de téléchargement: http://ifolder.ru/10599261

    Titre: utm5_kill_vpn.exe
    Lien vers le téléchargement: http://ifolder.ru/10599276

    UTM5 pouvez télécharger http://www.netup.ru/

    Sont également inclus YUTM Apache et le muscle. Juste pour entrer dans le admiku Web neohodimo vous allez mettre le OpenSSL et signer sertifikaty.Hotya ont vu et museaux alternatives web.